ISO 27002 wijzigingen: wat betekent dat voor jouw organisatie?
Onlangs (februari 2022) is de nieuwe versie ISO 27002:2022 gepubliceerd. Wat zijn de belangrijkste ISO 27002 wijzigingen? Lees snel verder.
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlAls je al wat langer meeloopt in ISO- en managementsystemenland, dan heb je het al eens eerder meegemaakt: een update aan een norm. In principe wordt elke vijf jaar besloten of een norm wordt geactualiseerd. De laatste versie van de ISO 27002 norm dateerde al uit 2013, dus was het hoog tijd voor een opfrisbeurt. Onlangs (februari 2022) is de nieuwe versie (ISO 27002:2022) gepubliceerd. Wat betekent dat inhoudelijk voor de norm en in de praktijk voor jouw organisatie? In dit artikel bespreken we de belangrijkste ISO 27002 wijzigingen en consequenties.
Managementsamenvatting
De 27002 vormt de basis voor Annex A van de ISO 27001 norm. De norm bevat de praktische richtlijnen voor beheersmaatregelen voor informatiebeveiliging. Organisaties die ISO 27001 gecertificeerd zijn (of willen worden), zullen in de komende tijd hun informatiebeveiligingsmanagementsysteem (ISMS) en verklaring van toepasselijkheid moeten aanpassen/inrichten op de gewijzigde ISO 27002 (/Annex A).
Inhoudelijk verandert de ISO 27002 voornamelijk door een nieuwe indeling/categorisering, met samenvoeging van bestaande maatregelen en uitbreiding met 11 nieuwe maatregelen. Het doel van ISO hierbij is om bij de tijd te blijven, de indeling logischer en praktischer te maken en aan te sluiten bij juiste verantwoordelijken. Ook stimuleert de nieuwe indeling meer tot ‘zelf nadenken’. Daarbij biedt de norm als hulpmiddel nieuwe ‘attributen’ ten behoeve overzichtelijke selectie, groepering e.d., gebaseerd op het type maatregel (preventief, correctief) en of de maatregel invloed heeft op Beschikbaarheid, Integriteit en Vertrouwelijkheid.
Certificerende instellingen zullen niet per direct de nieuwe beheersmaatregelen als uitgangspunt nemen bij hun audits. Er zal naar verwachting een overgangsperiode gehanteerd worden van drie jaar. Tenzij je organisatie op dit moment start met de invoering van een managementsysteem volgens ISO 27001 en je in dit project nog een risicoanalyse moet uitvoeren, kun je als je al een draaiend managementsysteem hebt naar verwachting wachten tot je eerstvolgende periodieke update van de risicoanalyse om deze verandering in te zetten.
Of de wijziging voor een reeds ISO 27001 gecertificeerde organisatie veel of weinig impact heeft, hangt met name af van de wijze waarop de risicoanalyse is ingestoken en het huidige ISMS is vormgegeven. Als daarbij een sterk normgebaseerde aanpak is gekozen, met de bestaande/oude Annex A als basis voor het identificeren van risico’s en voor de (paragraaf)structuur van een mogelijk ISMS handboek, dan is er het nodige werk aan de winkel.
Indien de risicoanalyse en het ISMS meer vanuit bedrijfsprocessen en de daaraan verbonden risico’s zijn opgesteld, is de kans groot dat de nieuwe elementen uit de nieuwe norm al op je ‘radar’ stonden en zorgt de nieuwe normindeling voor minder aanpaswerk.
Bekijk onderstaande video voor een korte toelichting op de vernieuwde norm!
Belangrijkste ISO 27002 wijzigingen op de inhoud
Noot vooraf: De vernieuwde ISO 27002 is op dit moment alleen nog gepubliceerd in het Engels, vandaar dat je hieronder wat Engelse termen terugvindt.
Een in het oog springende ISO 27002 wijziging is dat het aantal beheersmaatregelen teruggaat van 114 naar 93. Dit komt praktisch volledig door samenvoeging van bestaande maatregelen; inhoudelijk is er nauwelijks iets geschrapt. Overigens wordt de tekst van de norm daarbij niet per se korter – de Engelse norm gaat van 80 naar 138+ pagina’s.
Van die 93 controls zijn er 11 nieuwe (hieronder in een niet-officiële vertaling):
Maatregel
- Dreigingsinformatie
- Informatiebeveiliging voor gebruik van clouddiensten
- ICT gereedheid voor bedrijfscontinuïteit
- Fysieke beveiligingsmonitoring
- Configuratie management
- Informatieverwijdering
- Gegevensmaskering
- Preventie van datalekken
- Activiteiten t.b.v. monitoring
- Web filtering
- Veilig programmeren (secure coding)
Wat daarbij opvalt is dat slechts één nieuwe beheersmaatregel betrekking heeft op beveiliging van clouddiensten. Dat is beperkte aandacht te noemen voor deze moderne manier van werken. Voor meer detail met betrekking tot clouddiensten wordt er geleund op de ISO 27017 norm, die ook groeit in populariteit (tenminste, bij de grotere aanbieders). Een meer structurele aandacht voor cloud in ISO 27002 komt wellicht over vijf of tien jaar aan bod. Wat niet wegneemt dat je met de huidige ISO 27002 ook uit de voeten kunt voor cloudsecurity.
Wet- en regelgeving speelt een belangrijke rol rondom informatiebeveiliging en ISO 27001 en wordt steeds meer aangescherpt. Meer weten? Lees dan: Wet- en regelgeving informatiebeveiliging en ISO 27001 en/of bekijk het artikel: NIS2 Directive en andere wet- en regelgeving: niet alleen kennen, maar ook echt wat mee doen!
Toevoeging van attributen
De nieuwe norm bevat meer meta-informatie over de maatregelen en spoort de organisatie aan om daar zelf ook gebruik van te maken. Elke beheersmaatregel wordt bijvoorbeeld voorzien van “Attributen” zoals:
- Type (preventief, correctief);
- Of de maatregel invloed heeft op Beschikbaarheid, Integriteit of Vertrouwelijkheid.
Deze attributen kunnen ook worden ingezet om aan te haken bij andere frameworks, zoals NIST.
De intentie is daarbij dat er ook meer gekeken wordt naar het doel van de maatregel en niet de gangbare uitvoering van de maatregel. Bijvoorbeeld functiescheiding bij een eenmansorganisatie. Ook het oude, wellicht verwarrende ‘beveiligen van laad- en loslocaties’ komt niet meer onder die titel voor.
Categorisering (nieuwe hoofdstukindeling)
Wat is er dan met die hoofdstukindeling gebeurd? Daar is in de nieuwe ISO 27002 een grote verandering doorgevoerd: de beheersmaatregelen worden verdeeld in vier groepen (hieronder genummerd volgens de nieuwe hoofstukken / clauses en met het aantal maatregelen benoemd):
- 5. Organisatorische maatregelen (37), bijvoorbeeld een inventaris van informatie en bijbehorende middelen;
- 6. Mensen (8), bijvoorbeeld werken op afstand;
- 7. Fysieke maatregelen (14), bijvoorbeeld toegang tot de serverruimte;
- 8. Technologische maatregelen (36), bijvoorbeeld testen.
Dit maakt het in principe iets eenvoudiger om een ‘eigenaar’ toe te kennen aan een beheersmaatregel. Bijvoorbeeld de HR Manager voor de categorie ‘Mensen’, de Security Officer voor de categorie ‘Organisatorisch’, de Facility Manager voor de categorie ‘Fysiek’ en de ICT manager voor de categorie ‘Technologie’.
“Het managementsysteem is letterlijk van iedereen in onze organisatie. Door de manier waarop we het hebben aangevlogen, samen met CertificeringsAdvies Nederland, worden zowel de werkwijze als het systeem echt door iedereen gedragen.” Zo vertelt Martijn Stuart, eigenaar van Infield ICT. Wil je de hele ervaring van onze klant lezen? Bekijk dan: Klantcase Infield ICT.
(Hulp bij) transitie n.a.v. de ISO 27002 wijzigingen
Er is een overgangsperiode van naar verwachting drie jaar, om je ISMS in te richten c.q. aan te passen op de wijzigingen in de ISO 27002 (/Annex A). Als jouw organisatie al ISO 27001 gecertificeerd is, dan is het verstandig om te kijken in welk jaar je hercertificeringsaudit valt. Als dit qua planning lukt, dan is het prettig om er naartoe te werken dat je op dat moment je ISMS hierop hebt aangepast. Dat voorkomt hopelijk aanvullende bezoeken van de certificerende instelling.
Hoe moet die transitie dan gemaakt worden? Het meest praktische is dat bij de eerstvolgende revisie/update van de risicoanalyse te doen (op het moment dat die gepland staat in je operationele planning). Als die nog lang op zich laat wachten, dan kun je er uiteraard één extra plannen. Daarbij kijk je op basis van de nieuwe indeling/maatregelen of er bij je huidige risicoanalyse toch niet iets gemist is. Mogelijk is dat niet eens zo. Als cloud diensten bijvoorbeeld een belangrijke rol spelen binnen je organisatie, zal je (als het goed is) de risico’s daarvan al eerder in beeld hebben gebracht en maatregelen hebben getroffen (ook al vroeg de norm daar nog niet expliciet om). En zo geldt dat wellicht ook voor de andere nieuwe zaken. In dat geval is het slechts een kwestie van duidelijk zichtbaar maken dat je ook onder de nieuwe indeling, je zaken op orde hebt.
Mocht je echter de maatregelen uit de Annex A heel letterlijk/rechtlijnig als uitgangspunt voor je risicoanalyse hebben genomen en geïmplementeerd, dan kan het zijn dat je toch nieuwe zaken tegenkomt in de vernieuwde ISO 27002 / Annex A. Het werk is in dat geval omvangrijker. Dat geldt ook wanneer je jouw managementsysteem sterk gekoppeld hebt aan (en ingedeeld hebt volgens) de Annex A en de daarbij behorende paragraafnummers. Veel (jongere) systemen kennen een dergelijke inrichting.
De nieuwe norm bevat een bijlage met een mapping van de 2013 versie naar de 2022 versie, die je voor een zoek- en vervang exercitie kan gebruiken.
Het is echter aan te bevelen om waar mogelijk de focus op/koppeling aan de norm(paragrafen) los te laten, zeker als je systeem al een tijd goed draait. Je processen werken dan immers goed en je hebt de ‘kruk’ van de normdetails steeds minder nodig om de relevante maatregelen te treffen en goed te houden. Uiteraard maak je de koppeling tussen je systeem en norm nog wel (in risicoanalyse en verklaring van toepasselijkheid), maar deze mag naar de achtergrond. Dat is ook goed voor het draagvlak en de effectiviteit in je organisatie. En je voorkomt dat je bij een toekomstige update aan de norm vast zit aan het framework.
Wat je ook doet: neem bij je eerstvolgende directiebeoordeling (of overleg tussen Security Officer en directie) deze ontwikkeling op basis van de ISO 27002 wijzigingen alvast mee.
Joris Geelhoed (SO bij Vecos): “Het is erg prettig als je met een partner samenwerkt die net zo pragmatisch denkt en handelt als wij zelf doen. We hebben veel aan CAN te danken. Zij hebben ons waardevolle input gegeven gedurende het hele traject.” – Benieuwd naar de hele ervaring rondom ISO 27001 implementatie van onze klant Vecos? Bekijk de klantcase.
Gekoppelde normen
Een aantal normen zijn afhankelijk van of gekoppeld aan ISO 27001/ISO 27002, zoals de Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510, de norm voor de zorg. Daarnaast zijn er verbanden of overlap met ABDO, TISAX en ISAE.
De beheerders van deze normen zullen op kortere of langere termijn naar verwachting de wijzigingen in de ISO 27002 in meer of mindere mate overnemen. De details en planning hiervan zijn nog niet bekend.
Wil je een overzicht van alle wijzigingen met betrekking tot de nieuwe ISO 27002:2022 in een handzame PDF in je mailbox ontvangen? Vul je gegevens in op deze pagina ‘stappenplan transitie 27002‘ en ontvang het document direct in je mailbox.
Hoe nu verder met betrekking tot de ISO 27002 wijzigingen?
Als je al contact hebt met één van onze adviseurs (of Security Officers as a Service), dan kan hij/zij je hierbij verder helpen. Heb je nog geen contact met één van onze collega’s, dan helpen wij je uiteraard ook graag met deze transitie: wij hebben ervaring met de begeleiding bij dit soort transities. Speciaal voor deze transitie bieden wij een Transitiescan ISO 27002 aan. Neem gerust contact met ons op. We vertellen je graag meer!
Transcriptie video: ISO 27001 wijzigingen: wat verandert er voor jou?
In deze video leg ik je uit wat er dit jaar, 2022, verandert in de ISO 27001 én ISO 27002 norm. De ISO 27001 en 27002 zijn samenwerkende normen waarin de 27002 norm een lange opsomming is van beheersmaatregelen die je wilt implementeren als je mee wilt gaan in de gangbare best practices op het gebied van informatiebeveiliging. De indeling van deze beheersmaatregelen verandert in 2022. Van de oude lijst van 114 beheersmaatregelen is er een klein stukje efficiency bereikt en is het teruggebracht naar 93. En een aantal normen die wat ouderwets taalgebruik hebben, zoals bijvoorbeeld telewerken zijn meer aangepast naar nu. En ook zijn omstandigheden zoals het toegenomen gebruik van cloud applicaties wat beter verwoord in de norm. Nu die normwijziging komt: weet ten eerste dat je ongeveer 3 jaar de tijd hebt om daarmee aan de slag te gaan. De impact van de verandering hangt eigenlijk af van hoe goed je met je risicoanalyse bezig was. Als jij zelf al in zicht had dat je bijvoorbeeld hele moderne cloud applicaties gebruikt, dan heb jij de norm niet nodig gehad om jou te vertellen dat je die risico’s in behandeling neemt. Dus daar was je toch al mee bezig. Dan is alleen het taalgebruik wat nieuwer. Als jij een systeem hebt wat heel erg sterk samenhangt met specifieke annex nummers uit de oude norm en je vindt dat nuttig, dan zal je daar wat tekstuele redactie in moeten doen om te zorgen dat dat weer aansluit. Inhoudelijk, als jij al goed bezig was dan kunnen wij je prima helpen met die transitie tussen die twee systemen. Want ze sluiten prima op elkaar aan. Wil je meer weten over specifieke veranderingen in die maatregelen? Of de nieuwe indeling die stuurt naar bepaalde verantwoordelijkheden voor bepaalde rollen? Neem dan contact met ons op!
Tobias op den Brouw is Manager Advies en Adviseur bij CertificeringsAdvies Nederland. Zijn kernwaarden zijn helderheid, samenwerken en doelgericht werken en daarmee samen veranderingen realiseren.
tobias@certificeringsadvies.nlKom in contact met de partner in certificeren!
Meer informatie over de mogelijkheden?
- Altijd een oplossing op maat
- Jouw organisatie als uitgangspunt
- Snel, pragmatisch en persoonlijk